Aprimorando o framework de Times Coloridos de Segurança Cibernética: O case de Sucesso na RD Station
INTRODUZINDO OS TIMES COLORIDOS
Sempre que discutimos a Segurança da Informação do ponto de vista defensivo, estamos inclinados a pensar em proteção, controle de danos e reação. Nos estágios iniciais da cibersegurança, o objetivo é o foco das organizações é monitorar e prevenir ataques. Esta abordagem é principalmente defensiva. No entanto, adotar a mentalidade de um invasor pode efetivamente ajudar as empresas a aumentar suas chances de se protegerem contra ameaças em constante mudança.
Se as cores vermelha, azul e amarela são nossas cores primárias, podemos misturar suas habilidades para criar equipes secundárias que combinam as habilidades e os pontos fortes de duas equipes primárias.
CORES PRIMÁRIAS DE INFOSEC
Com o avanço dos ataques cibernéticos por atacantes, os profissionais de segurança começaram a tomar um novo caminho para a defesa usando a segurança ofensiva. Portanto, a organização formou duas equipes de segurança: azul e vermelha. No jargão militar, o termo Red Team (Equipe Vermelha) é tradicionalmente usado para identificar grupos altamente qualificados e organizados que atuam como rivais fictícios e / ou inimigos das forças “regulares”, nesse caso a Equipe Azul.
TIME AZUL
A equipe azul atua como um “defensor” cujo objetivo é proteger a organização contra verdadeiros atacantes e equipes vermelhas. Deve-se notar que existe uma linha tênue entre a equipe de operações de segurança e a equipe azul. A equipe de segurança monitora vigilantemente a rede para qualquer atividade suspeita. Uma equipe azul pode ser vista mais ou menos como uma combinação de equipes como operações de segurança, gerenciamento de incidentes e equipes de gerenciamento de risco que estão envolvidas na análise, detecção, prevenção e tratamento de incidentes.
TIME VERMELHO
Uma equipe vermelha é um “criminoso” ou “hacker” que usa TTP (táticas, técnicas e práticas) para imitar um ator ameaçador. Esta simulação testa as políticas e defesas existentes de uma organização, assim como as iniciativas da equipe azul. Equipes vermelhas às vezes são confundidas com testadores de penetração. Enquanto os testes de penetração conduzem avaliações técnicas de escopo para verificar configurações de segurança por um tempo limitado, as atividades da equipe vermelha são principalmente uma avaliação da postura geral de segurança de uma organização que pode operar continuamente.
COOPERAÇÃO, FEEDBACK MÚTUO E MELHORIA CONTÍNUA
A utilidade da abordagem Equipe Vermelha X Equipe Azul está na interação e no feedback mútuo, na sua capacidade de transformar o desafio em uma maneira de melhorar a capacidade de uma organização de detectar e combater ameaças.
Tal cooperação deve se esforçar para a melhoria contínua, a Equipe Azul deve ver as atividades do Red Team como uma oportunidade para entender as táticas, técnicas e procedimentos possíveis dos assaltantes.
Embora a falha de um SOC (Security Operation Center), que nada mais é que uma equipe e conjunto de tecnologias capazes de prevenir, detectar e responder ameaças, de em detectar uma violação possa depender das falhas de seus funcionários, também pode ser o resultado de medidas inadequadas contra métodos realmente refinados ou até mesmo desconhecidos anteriormente.
O ataque do Red Team pode expor essas fraquezas antes que criminosos reais possam tirar proveito delas. Como cada equipe tem diferentes propósitos, seus meios também serão diferentes.
Espera-se que o Red Team domine o uso de ferramentas ofensivas (por exemplo, Meterpreter ou Metasploit), para saber o que é uma injeção SQL, empregar ferramentas de varredura de rede (Nmap), usar linguagens de script, reconhecer comandos de roteador e firewall etc.
Por outro lado, a Equipe Azul deve entender qualquer fase única de uma Resposta a Incidentes, dominar sua própria parcela de ferramentas e idiomas, observar padrões de tráfego suspeitos, identificar os Indicadores de Compromisso, usar um IDS (Intrusion Detection System coleta os dados dos usuários e armazena-os, analisando padrões comportamentais, fluxo de dados, horários, dentre outros) adequadamente, realizar análises e testes forenses em diferentes sistemas operacionais.
EQUIPE AMARELA
A Equipe Amarela quer ver e entender como a ferramenta/automação de ataque funciona, e eles adoram como um ataque pode ser inteligente. As técnicas que aprendem tendem a ser mais espertas, insidiosas ou facilmente disponíveis do que as que inicialmente perceberam.
Um desenvolvedor começará então, em seu cérebro, a internalizar como tornar suas aplicações resistentes a estes tipos de ataques. Eles começam a entender não apenas “casos de uso”, mas “casos de mau uso” e “casos de abuso”.
Eles desenvolvem e inspiram um pensamento crítico ofensivo na Equipe Amarela e em si mesmos, o que é o objetivo — isto ajuda a evitar que os bugs de segurança sejam introduzidos em primeiro lugar, uma vez que se torna uma parte intrínseca de como eles desenvolvem e projetam soluções.
Muitas vezes, equipes azuis têm dificuldade em defender ou investigar problemas devido à insuficiência de dados. Se as equipes amarela e azul trabalharem juntas, elas podem garantir que o registro e o monitoramento adequados sejam configurados na aplicação para evitar incidentes como violações não detectadas e ajudar as equipes forenses a conduzir melhores investigações.
CORES SECUNDÁRIAS DE INFOSEC
Vermelho, azul e amarelo são as nossas cores primárias. Combine duas delas e você obtém as Cores Secundárias.
Temos nossas equipes vermelha e azul como sempre tivemos, mas agora com a introdução de uma equipe amarela, podemos ter equipes de cor secundária (laranja, verde e roxa) dedicadas a misturar habilidades entre atacantes, defensores e codificadores, tornando o código mais seguro e a organização mais segura.
Vamos ver como podemos combinar estes conjuntos de habilidades para tornar nossas organizações mais seguras.
A segurança não pode e não deve ser isolada, mas em muitos casos, os desenvolvedores de software e a segurança estão atualmente segregados um do outro e do resto da organização. As pessoas tendem a se especializar em uma cor primária, mas para que uma organização seja segura, todas as cores devem ser fortes, mas elas devem trabalhar juntas e se misturar.
À medida que nos misturamos, estas equipes combinarão seu conhecimento e capacidade para melhorar e melhorar as outras equipes para tornar uma organização mais segura. Não pense nestas equipes de “cores secundárias” como funções dedicadas em tempo integral — estas cores secundárias são um conceito e uma função dos membros existentes.
É mais provável que haja reuniões/exercícios/agendamentos regulares e programados para a equipe secundária e uma política de integração entre os grupos.
O objetivo é fazer com que estas equipes primárias, geralmente oponentes, trabalhem em conjunto para atingir um objetivo comum.
EQUIPE ROXA
Ambas as equipes trabalharam sem falhas em suas respectivas áreas, mas com o tempo sentiram que havia uma lacuna entre elas. Muitas vezes, mesmo depois de trabalhar para a mesma organização, as deficiências/diferenças observadas por uma equipe são vistas como uma vitória pessoal sobre a outra equipe, em vez de olhar para trás, para as lições aprendidas. Daí a necessidade de integração, que levou à origem da “Equipe Roxa”. Pense na Equipe Roxa como um conselheiro matrimonial. É bom ter alguém atuando nesse papel para fixar a comunicação, mas sob nenhuma circunstância você deve decidir que a nova e permanente forma de ambos os parceiros se comunicarem é através de um mediador.
O objetivo principal de uma equipe roxa é maximizar os resultados dos compromissos da equipe vermelha e melhorar a capacidade da equipe azul.
A “Equipe Roxa” como uma equipe dedicada realiza a interação entre as equipes vermelha e azul onde ambas as partes podem compartilhar e discutir suas descobertas, propor áreas de melhoria e trabalhar em conjunto para fortalecer a postura de segurança da organização. A ideia é ajudar as equipes vermelha e azul a se unirem para atingir um objetivo comum. Aqui entende-se também que os integrantes trabalham com a Inteligência Cibernética para conseguir apoiar na antecipação de possíveis ataques.
Inteligência de Ameaças Cibernéticas — ou CTI (Cyber Threat Intelligence) tem como foco a coleta e análise de informações de fontes internas e externas para ganho de maior entendimento sobre fragilidades ou ameaças em potencial, a fim de garantir a proteção de ativos de acordo com o seu valor para a empresa.
Mas o que é uma ameaça? Definimos como ameaça qualquer circunstância ou evento que tenha o potencial de explorar vulnerabilidades em ambientes, sistemas e pessoas, gerando um impacto negativo nas operações, ativos e indivíduos em uma organização privada ou entidade pública. E o CTI vem para realizar a prevenção desses possíveis ataques de forma proativa.
Outra lacuna que não foi descoberta até recentemente é a lacuna entre a equipe de segurança defensiva/ofensiva e a equipe de desenvolvimento. Estas equipes, incluindo desenvolvedores, programadores, engenheiros de software e arquitetos, são combinadas em “equipes amarelas” ou “construtores”. Sugestões e perguntas das equipes azul e vermelha são organizadas e alinhadas com a equipe amarela devido à falta de conhecimento sobre segurança. Como todos sabemos, não se pode esperar que os construtores aprendam todos os aspectos relacionados à segurança, nem que as equipes de segurança tenham experiência em todo o SDLC que é o ciclo de vida de desenvolvimento de sistemas.
No entanto, o fato de considerar a segurança nos estágios iniciais de desenvolvimento pode melhorar toda a aplicação não pode ser ignorado.
Todas as três equipes têm suas próprias áreas técnicas. O fluxo geral é: a equipe amarela constrói algo, a equipe azul desenvolve uma estratégia de defesa contra ela, a equipe vermelha ataca para testar a defesa, relata problemas, e a equipe amarela resolve esses problemas. “Mas o problema também surge aqui, quando são identificadas discrepâncias, a equipe começa a jogar o jogo da culpa em vez de seguir uma abordagem de solução de problemas. Esta situação, como no caso das equipes azul e vermelha, permite que as equipes se comuniquem e compartilhem conhecimento umas com as outras tornou-se crítica. Isto levou à introdução das equipes “verde” e “laranja”, criando a roda da cor de segurança.
EQUIPE LARANJA
Os times laranja e verde formam um compromisso entre as equipes amarela e vermelha com a amarela e azul, respectivamente. As organizações estão passando do SDLC para o Ciclo de Vida de Desenvolvimento Seguro de Software (SSDLC). Se a equipe amarela compreender as várias técnicas de ataque utilizadas pela equipe vermelha, eles podem remediar isso na fase inicial propriamente dita. Já ouvimos falar de “casos de uso” sendo desenvolvidos, mas casos de “uso indevido” também podem ajudar a desenvolver várias características e evitar bugs. Como exemplo simples, vulnerabilidades como o Cross-Site Scripting (XSS) podem ser evitadas no software final se a importância de uma sanitização de entrada adequada for explicada ao desenvolvedor e cuidada.
A razão de muitos bugs de segurança dentro do software não é a existência de programadores maliciosos, mas a falta de conscientização de segurança dentro das equipes de desenvolvimento de software e arquitetos.
O objetivo da Equipe Laranja é inspirar a Equipe Amarela a ter mais consciência de segurança, aumentando sua conscientização de segurança ao fornecer educação para beneficiar a implementação de código e projeto de software. Deve haver compromissos estruturados e contínuos entre a Equipe Vermelha e a Equipe Amarela para o benefício do Amarelo.
Você quer que sua Equipe Laranja conscientize não somente os colaboradores em geral que têm atitudes mais seguras, mas também seus desenvolvedores a pensar como atacantes.
Na minha experiência em cursos de hacker ético, cursos de codificação segura e demais certificações que obtive, os desenvolvedores não respondem positivamente a uma lista de vulnerabilidades, mas adoram aprender a pensar como um atacante.
EQUIPE VERDE
A Equipe Azul nem sempre está ciente de todas as estruturas, bibliotecas, sistemas de terceiros, chamadas em rede e funcionalidades adicionadas pela Equipe Amarela. A Equipe Amarela pode não estar ciente de algumas das dependências por trás de seu próprio código.
Pergunte a qualquer codificador que utilize o Node o que fazem suas mais de 80 dependências. No caso de um incidente, a Blue Team pode não ter os dados necessários para investigar ou defender sistemas violados e ninguém quer testar ou tocar o ambiente de produção por medo de quebrá-lo.
A equipe verde consiste em interações estruturadas contínuas entre o Blue Team e os membros da equipe de software (time amarelo). O objetivo final é melhorar a capacidade de defesa baseada em código e design para detecção, resposta a incidentes e dados forenses.
EQUIPE BRANCA
No centro da roda está a “Equipe Branca” que planeja e organiza as outras equipes, decide o escopo e as regras dos compromissos e atua como supervisor, monitorando seu progresso. Esta equipe pode incluir membros de governança, conformidade, logística, analistas etc.
Inicialmente, isto pode parecer e seria um processo demorado, mas continuar com ele seria frutífero a longo prazo. Como a lacuna de conhecimento e experiência entre as equipes se estreitam, as organizações encontrarão melhores soluções onde o software/aplicativo desenvolvido será mais seguro com menos bugs.
EQUIPE PRETA — UMA NOVA COR PARA COMPLETAR O TIME DE SEGURANÇA
Como proposta deste framework, apresentamos um novo conceito de InfraSec. Este modelo vem da fusão da equipe de TI Infra com o time de CyberSecurity. A infraestrutura de TI abrange toda a organização das informações, dados e disponibilidade de uma empresa: desde hardware, data centers, armazenamento, software até atualizações, processos e até treinamento de funcionários, esse departamento é fundamental nos processos da empresa.
As listas de empregos que envolvem manutenção de infraestrutura de TI, como engenheiro de rede ou administrador de sistema, estão em tendência de queda devido à migração em massa para a nuvem. No entanto, alguns cargos de gerenciamento não desapareceram completamente, mas mudaram de TI para outras áreas da organização.
Diante dessa nova realidade e da importância do conhecimento desses profissionais, entendo a necessidade de incorporar essas atividades de forma agregada à segurança dos profissionais que precisam referenciar esse conhecimento.
Trabalhamos com as partes interessadas relevantes em equipes e departamentos para fornecer o suporte necessário e ajudá-los a proteger sua infraestrutura. Participamos de empreendimentos em andamento e futuros, apoiando as operações comerciais existentes, bem como a expansão dos negócios.
As equipes de segurança de infraestrutura têm um novo mandato para impedir a atividade adversária por meio de soluções inovadoras e proativas. Tome medidas para eliminar os riscos estruturais e aumentar a resiliência às ameaças. Construa proteções de forma eficaz para manter sua equipe segura, não aja como guardiões.
Nessa equipe, os parceiros trabalham diretamente com a equipe de engenharia de segurança para proteger a infraestrutura e implementar controles para fornecer um ambiente mais seguro para o restante da empresa. Observe os aspectos internos e as melhores práticas para a operação de ferramentas de infraestrutura.
O conceito Secure by default, o que significa que a configuração padrão é a configuração mais segura, não necessariamente a mais fácil de usar.
A função da equipe de segurança de infraestrutura pode ser comparada à função da equipe de segurança de aplicativos — a última ajuda na qualidade do código, enquanto a primeira ajuda na qualidade da infraestrutura.
O que essa nova equipe realizará em seu trabalho diário:
- Projetar, implementar, gerenciar e melhorar sistemas e controles de segurança;
- Implementar controles para mitigar problemas de segurança e vulnerabilidades;
- Projetar, implementar e manter estruturas de segurança por padrão para habilitar as equipes de engenharia;
- Influenciar os planos de engenharia revisando projetos, comunicando restrições de segurança e ajudando as equipes a fazer as compensações certas.
- Utilizar a estrutura da Estrutura de Conformidade para ajudar a identificar e implementar controles de segurança úteis;
- Colaborar com colegas de equipe e partes interessadas para desenvolver estratégias de gerenciamento de risco de curto e longo prazo;
CONCLUINDO SOBRE A IMPORTÂNCIA DOS TIMES COLORIDOS
Chegando nessa parte final, talvez apareça uma pergunta soando em sua cabeça agora: Porque eu deveria implantar uma organização de times de Segurança? Durante diversos anos de experiência que tive em minha carreira profissional eu vejo que a organização de times sempre facilita a forma que as demandas chegam para o time e quem são os responsáveis para assumir os vários temas que existem dentro de Segurança Cibernética.
Agora o porque eu falo desse framework especificamente? Esse framework traz uma visão muito clara sobre o que cada time é responsável e demonstra como cada um deles se organiza para atuar de forma sistêmica, dado que cada vez mais temos uma segmentação de temas e especialidades na Segurança. Por exemplo, nos últimos anos apareceram especialistas como pessoas especialistas em Desenvolvimento Seguro, em ameaças cibernéticas, em inteligência cibernética, analistas em investigação internas e externas e muito mais.
Aqui na RD Station estamos dando a devida relevância para trazer um ambiente mais seguro para os nossos clientes e os integrantes do foguete. Estamos alinhados com as preocupações das pessoas que usam os nossos produtos e estamos expandindo cada vez mais o investimento em soluções e contratações de pessoas em várias áreas. Caso você tenha gostado de como trabalhamos e do framework que adaptei a nossa realidade, voce pode se candidatar aqui (https://grnh.se/bbc164732us) para fazer parte do foguete da RD Station e ajudar a Segurança a elevar o nível de maturidade. #SóVem
